In Episode 117 dreht sich fast alles um das große Wort "Verantwortung". Diese ist ein Grundpfeiler des Datenschutzrechts: Wo personenbezogene Daten verarbeitet werden, muss jemand existieren, der für die Mittel und die Zwecke verantwortlich zeichnet. Diese reale oder juristische Person muss die Rechte von Betroffenen berücksichtigen, sorgt für rechtmäßige technische Maßnahmen und erfüllt die Compliance-Anforderungen. Nur ist es in der komplexen technischen Welt so, dass eher selten ein Verantwortlicher alles in der eigenen Hand hat. In der Regel werden Datenverarbeitungen ausgelagert, sei es zu einem Cloud-Anbieter oder eine Marketingagentur. Meist vereinbaren die Partner eine Auftragsverarbeitung, bei der der Verarbeiter nur Deligierter, aber kein Verantwortlicher ist. Mitunter kommt es aber auch vor, dass sich mehrere Parteien die Verantwortung zur Verarbeitung teilen. das sogenannte "Joint Controlling" nach Art. 26 DSGVO. Und hier wird es kompliziert. c't-Redakteur Holger und heise-Verlagsjustiziar Joerg besprechen dieses komplexe Feld mit Dr. Johannes Marosi. Johannes arbeitet als Rechtsanwalt für IT- und Datenschutzrecht bei Graf von Westphalen in Frankfurt am Main. Insbesondere aber hat er seine Dissertation über das Thema der gemeinsamen Verantwortung im Datenschutzrecht geschrieben. Johannes bestätigt, dass die alleinige Verantwortung heute selten vorkommt, da die meisten Unternehmen externe Dienstleister für verschiedene Aufgaben hinzuziehen. Ein typisches Beispiel für vertraglich gefestigte Auftragsverarbeitung ist das Webhosting, bei dem ein Cloud-Anbieter Kundendaten speichert und verarbeitet. Bei der gemeinsamen Verantwortung müssen die beteiligten Parteien in einem sogenannten Joint-Controller-Agreement festlegen, wer welche Aufgaben und Pflichten übernimmt. Johannes betont, dass es wichtig sei, derlei Vereinbarungen detailliert auszuarbeiten, um spätere Konflikte zu vermeiden. Im Gespräch wird deutlich, dass die gemeinsame Verantwortung komplex und oft schwer zu handhaben ist. Obwohl die DSGVO rechtliche Rahmenbedingungen vorgibt, bleibt vieles in der Praxis unklar. Unternehmen müssten daher sorgfältig prüfen, wie sie ihre Datenschutzverantwortung organisieren und dokumentieren, resümiert Johannes.

Die Auslegungssache weitet wieder einmal den Blick und schaut auf die Entwicklung der Digital- und Netzpolitik aus bürgerrechtlicher Perspektive. Zu Gast ist diesmal Markus Beckedahl. Wohl kaum jemand in Deutschland hat von zivilgesellschaftlicher Seite in den vergangenen 20 Jahren die Debatten intensiver verfolgt und mitgeprägt als er. Markus hat 2003 das Blog netzpolitik.org gegründet und war dort bis 2022 Chefredakteur. Im März dieses Jahres hat er den Staffelstab gänzlich übergeben. Außerdem ist er Mitinitiator der jährlichen Konferenz re:publica, deren Programm er noch heute kuratiert. Und nicht zuletzt hatte er 2010 den Verein "Digitale Gesellschaft" mitgegründet, dessen Vorsitzender und Sprecher er bis 2015 war. Im Gespräch mit Holger und Joerg schildert Markus, wie es sich anfühlte, als er 2015 erfuhr, dass gegen ihn wegen Landesverrats ermittelt wurde. Damals hatte netzpolitik.org Dokumente des Bundesamtes für Verfassungsschutz online gestellt, in denen es um Pläne zur stärkeren Überwachung des Internets ging. Markus, der inzwischen neue Projekte gestarten hat, blickt insgesamt positiv auf die netzpolitische Entwicklung in Deutschland zurück. "Manchmal grüßt schon das Murmeltier und die Forderungen nach mehr Überwachung wiederholen sich. Aber wenn wir nichts gemacht hätten wäre alles viel schlimmer", ist er sich sicher. Im digitalpolitschen Bereich helfe es, in langen Linien zu denken und zu schauen, wo man Steine in den Weg legt, um Fehlentwicklungen zu verhindern. Denn, so resümiert Markus: "Eine bessere digitale Welt ist möglich!"

Ja, Datenschutz fordert Aufmerksamkeit. Beim Datenschutz im Gesundheitswesen begeben sich alle Beteidigten aber in ein juristisches Minenfeld, denn hier geht es fast immer um sensible Daten. Im Juristensprech handelt es sich laut Artikel 9 der Datenschutz-Grundverordnung (DSGVO) um die "besondereren Kategorien personenbezogener Daten", für die schärfere Anforderungen bei Verarbeitung und Schutz gelten. Im alltäglichen Klinikbetrieb fallen fast ausschließlich derlei Daten an, und das meist in einem gewachsenen, heterogenen IT-Umfeld. Dort die Verantwortung die Einhaltung aller datenschutzrechtlicher Pflichten zu verantworten, klingt nach einem anspruchsvollen Job. Im c't-Podcast erläutert der Datenschutzbeauftragte eines Krankenhauskonzerns, was er alles im Auge behalten muss: Christian Säfken ist Justiziar und Datenschutzbeauftragter der KRH Klinikum Region Hannover GmbH. Die Klinikgruppe mit 3400 Betten und rund 8500 Mitarbeitern versorgt jährlich rund 135.000 Patienten stationär und zudem 160.000 ambulant. Mit rund 40 Prozent Marktanteil ist die Gesellschaft der größte Anbieter von Gesundheitsdienstleistungen in der Region Hannover. Im Gespräch mit Joerg und Holger schildert Christian die Herausforderungen, die der Klinikalltag mit sich bringt. Wie umgehen mit Notfällen, bei denen keine Einwilligung zu holen ist? Wie reagieren auf datenschutzrechtliche Auskunftsbegehren, die den Rahmen zu sprengen drohen? Was ist mit Gerätschaften, die via Fernwartung Patientendaten preisgeben könnten? Christian gibt spannende Einsichten in die praktischen Probleme und zeigt auf, dass mit Pragmatismus auch die DSGVO-Hürden zu bewältigen sind.

Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield zerschlagen und damit einen großen Teil des Datenflusses aus der EU in die USA für gesetzeswidrig erklärt. Das Datenschutzniveau in den USA sei nicht angemessen, widersprach der EuGH damit der EU-Kommission. Ein Jammern und Wehklagen der Wirtschaft ist nicht zu überhören, obwohl die Entscheidung nicht gerade überraschend kam. Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg und Holger zusammen mit Carola Sieling nach. Carola ist auf IT-Recht spezialisierte Rechtsanwältin (kanzlei-sieling.de) in Hamburg und Paderborn. Sie stellt erst einmal fest: Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Dann erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.

Juhu, die Auslegungssache macht Corona-frei! Joerg und Holger lassen das Pandemie-Thema beherzt links liegen und beackern ein wichtiges Themenfeld, dessen Würdigung aus aktuellen Anlässen viel zu lange verschoben wurde: Es geht diesmal um die Frage, wie Cloud-Dienste angesichts der DSGVO-verschärften Bedingungen rechtmäßig genutzt werden können. Zusammen mit Dr. Christoph Wegener tastet sich das c't-Team an die Bedingungen heran, die das aktuelle EU-Datenschutzrecht vorgibt - sowohl für Unternehmen als auch für Privatleute. Dabei wird es durchaus etwas technisch, etwa bei den Fragen, was der von der DSGVO vorgegebene "Stand der Technik" sein könnte und wie Datenlöschungskonzepte in der Cloud funktionieren können. Christoph ordnet die Dinge ein und gibt Ideen für eigene Checklisten vor dem Gang in die Cloud. Er ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Ein Disclaimer in eigener Sache: Christoph hilft uns außerdem als Co-Organisator Heise-Security-Konferenz.

Joerg und Holger kommen vom Thema einfach nicht los: Auch in Episode 16 geht es wieder um die Corona-Warn-App. Diesmal dient sie als Beispiel dafür, warum eine solch komplexe Datenverarbeitung eine sogenannte Datenschutzfolgeabschätzung (DSFA) benötigt. Zu Gast in der Auslegungssache ist diesmal Ninja Marnau. Ninja forscht am Helmholtz Center for Information Security (CISPA) in Saarbrücken zu Datenschutzthemen. Sie war beratend in den Entwicklungsprozess der Corona-Warn-App involviert und arbeitete auch bei der 117-starken DSFA mit. die DSFA selbst lässt sich unter diesem Link (PDF) abrufen: https://www.coronawarn.app/assets/documents/cwa-datenschutz-folgenabschaetzung.pdf

Die informierte Einwilligung! Stimmt der Bürger nur aktiv zu, soll jeder Empfänger fast alles mit seinen Daten anstellen dürfen. So hat es nach dem EuGH jüngst auch der BGH bestätigt. Und den Bürgerinnen und Bürgern hat es sich so eingebrannt. Doch stimmt das? Und ist es das, was die EU als Gesetzgeber mit der DSGVO gewollt hat? Bürgerinnen und Bürger, die nicht mehr durchblicken und deshalb alles abnicken, weil sie nun mal die Dienste nutzen wollen? Zweifel sind angebracht, denn es gibt nicht nur die Einwilligung, sondern gleichberechtigt fünf andere eigentlich gleichrangige Rechtsgründe dafür, Daten erheben und verarbeiten zu dürfen, die aber derzeit faktisch zurücktreten. Darüber diskutieren Joerg und Holger mit Kirsten Bock. Sie studierte Rechtswissenschaften und arbeitet seit vielen Jahren als Datenschutzjuristin im aufsichtsbehördlichen Bereich, forscht zu ethischen und gesellschaftlichen Grundsatzfragen des Datenschutzes und ist eine der Autorinnen des Standard-Datenschutzmodells. Und sie äußert aus Datenschutzperspektive heftige Kritk am Modell der Corona-Warn-App, die kommende Woche erscheinen soll. Auch das musste natürlich begesprochen werden in dieser Episode.

Endlich! Die irische Datenschutzbehörde ist aufgewacht. Joerg und Holger präsentieren tatsächlich einen Bußgeldbescheid der DPC, allerdings gegen eine öffentliche Stelle. In Sachen Facebook bleibt sie nach wie vor untätig, was den Datenschützer Max Schrems in einem Brandbrief zum Urteil "Die DSGVO ist dysfunktional" veranlasste, wie Holger berichtet. Im Schwerpunkt von Episode 14 geht es aber um Microsoft 365 (ehemals Office 365). An dem viel genutzten Cloudoffice- und Workgroup-Paket scheiden sich die Datenschutz-Geister. Während der Konzern stets betont, alle DSGVO-Vorgaben einzuhalten, warnen einige Datenschutzbehörden vor dem Einsatz in Behörden, Schulen und Unternehmen. Zusammen mit ihrem Gast Thomas Althammer grübeln sie darüber, wo die Knackpunkte liegen und ob Microsoft wirklich mit offenen Karten spielt. Zweifel sind zumindest angebracht, wie Thomas zu berichten weiß. Er kennt die Problematiken aus der beruflichen Praxis: Sein Unternehmen Althammer&Kill berät namhafte Unternehmen als externer Datenschutzbeauftragter, zu Informationssicherheit und in IT-Strategiefragen, und Thomas selbst hat sich ausführlich mit den datenschutzrechtlichen Fallstricken rund um den Einsatz von Microsoft 365 beschäftigt.

Endlich wieder ein knackiges Bußgeld der Woche - die Aufsichtsbehörden erwachen wohl aus dem Corona-Schlaf. Auch Joerg und Holger wollen in die neue Normalität und besprechen, welchen Beitrag dazu die Kontaktverfolgung mit Smartphone-Apps leisten kann. Mehr als nur Unterstützung erhalten sie dabei von Linus Neumann, der aus Berlin zugeschaltet ist. Linus ist unter anderem Sprecher des Chaos Computer Clubs (CCC) und Podcaster (https://logbuch-netzpolitik.de). Er hat sich intensiv mit den App-Konzepten beschäftigt und erklärt in dieser XL-Episode ausführlich, wie die Kontaktverfolgung mittels Bluetooth funktioniert, welche Unterschiede zwischen den zentralen und dezentralen Ansätzen bestehen, wie Apple und Google in die Situation eingriffen und wie das Tracing nun datenschutzschonend ablaufen könnte. Unter Mitwirkung von Linus hat der CCC zehn Prüfsteine für die Beurteilung von Contact-Tracing-Apps formuliert: https://www.ccc.de/de/updates/2020/contact-tracing-requirements Gebt uns gerne Feedback an auslegungssache@heise.de oder im Forum unter ct.de/auslegungssache :-)

Wen interessiert denn gerade Datenschutz? Joerg und Holger gehen der Frage nach, welche Rolle der Datenschutz als Grundrecht bei den Maßnahmen zur Corona-Eindämmung spielt. Natürlich geht es um den verantwortungsvollen Umgang mit Gesundheitsdaten, aber etwa auch darum, welche Möglichkeiten Schulen haben, per Videochat zu unterrichten. Eine wenig überzeugende Rolle spielen hier derzeit die Landesdatenschutzbehörden, die kaum konkrete Hinweise geben. Das sieht auch der Bundesdatenschutzbeauftragte a.D. Peter Schaar so, der in dieser Episode aus Hamburg zugeschaltet ist. Schaar, der heute der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) vorsteht, hat einen Apell namens "Corona – Pandemie bekämpfen, Bürgerrechte und Datenschutz wahren!" initiiert, der hier zu finden ist: https://www.eaid-berlin.de/appell-der-europaeischen-akademie-fuer-informationsfreiheit-und-datenschutz-corona-pandemie-bekaempfen-buergerrechte-und-datenschutz-wahren/

Plötzlich schwappt eine Digitalisierungswelle durchs Land, und damit eine neue Datenschutzdebatte. Wer kann, bleibt nämlich wegen der Corona-Kontaktsperre im Homeoffice, und videokonferiert mit den KollegInnen. Joerg und Holger besprechen mit Rechtsanwalt Dr. Thomas Schwenke, welche Anforderungen dabei gelten. Darf man bedenkenlos US-Plattformen wie Zoom oder MS Teams nutzen? Nach welchen Kriterien sollte man ein Konferenzsystem auswählen? Thomas hat dazu unter https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting eine Checkliste zusammengestellt, die die drei zusammen mit vielen Beispielen durchgehen.

Natürlich: Auch Joerg und Holger reden über die Coronapandemie. Muss in dieser Krisensituation der Datenschutz zurücktreten? Welche Rechte haben Arbeitnehmer? Dürfen Arbeitgeber ausnahmsweise Gesundheitsdaten erfassen, und wenn ja, wie lange? Was gilt es im Homeoffice zu beachten? Wie steht es um Grundrecht einschränkende Ideen, etwa die Handy-Ortung von Infizierten? Um diese und viele weiteren Fragen zu klären, ist Rechtsanwalt Dr. Matthias Lachenmann aus Köln zugeschaltet. Matthias ist auf die Beratung im Technologie- und Datenschutzrecht spezialisiert.

Joerg und Holger haben Alvar Freude aus Stuttgart zugeschaltet. Alvar arbeitet bei der Landesdatenschutzbehörde Baden-Württemberg und analysiert dort gemeldete (oder noch nicht gemeldete) Datenpannen. Er berichtet ein wenig aus dem Innenleben der Behörde und erläutert, warum der Landesdatenschutzbeauftragte seinen offiziellen Twitter-Account geschlossen hat.

Wegen der Fehlkonfiguration eines Webservers standen beim Kita- und Schul-App-Betreiber Stay Informed eine Menge sensibler Dateien (teilweise von Minderjährigen) offen im Netz, eventuell sogar über mehrere Jahre. Ein anonymer Hinweisgeber hatte c't auf das gravierende Datenleck aufmerksam gemacht. Wir verifizierten das Problem und wiesen die Stay Informed GmbH aus Freiburg darauf hin. Sie reagierte umgehend und schloss die Lücke. Wegen der datenschutzrechtlichen Konstellation sind die Folgen der Panne in diesem Fall besonders heftig: Stay Informed bietet seine App-Infrastruktur Kitas, Schulen und anderen Einrichtungen zur papierlosen Kommunikation zwischen Mitarbeitern und Eltern an, und zwar als Software-as-a-Service-Produkt. Das Unternehmen schließt dazu mit jeder Einrichtung beziehungsweise mit deren Träger einen Auftragsverarbeitungsvertrag ab. Weil es deshalb als Auftragsnehmer der Datenverarbeitung fungiert, ist es nicht direkt verantwortlich für das Leck im Sinne der DSGVO. Dies sind vielmehr die mehr als 11.000 angeschlossenen Auftragsgeber, also alle Einrichtungen. In Episode 106 der Auslegungssache spricht Joerg mit Holger über die rechtlichen Grundlagen und die Folgen. Holger war an der Recherche zum Stay-Informed-Datenleck beteiligt und kann viel berichten. Joerg erklärt, welche Rolle Stay Informed, die Einrichtungen, und die vom Leak jeder Menge sensibler, personenbezogener Daten Betroffenen rechtlich einnehmen. Es ist vertrackt: Die Einrichtungen und Träger müssen sich auf die Information von Stay Informed verlassen und entsprechend ihre zuständige Landesdatenschutzbehörde zum Vorfall informieren. Eventuell haften sie sogar mit. Überdies können über 800.000 Betroffene ihre Rechte aus der DSGVO beanspruchen, also etwa Auskunft oder Löschung verlangen - und zwar von sicherlich teilweise völlig überforderten Einrichtungen, die selbst gar keinen Einfluss auf das datenverarbeitende System hatten und haben.

In Episode 8 sprechen Joerg und Holger über den Datenschutz im Gesundheitssektor. In jüngster Zeit mehren sich nämlich Schlagzeilen zu Datenlecks in Arztpraxen und hohen Bußgeldern für Datenschutzverstöße in Kliniken. Die beiden gehen zunächst der Frage nach, welchen Stellenwert Gesundheits- und Patientendaten im Datenschutzrecht genießen. Zusammen mit ihrem Gesprächsgast Thomas Althammer, Geschäftsführer der Datenschutz-Beratungsfirma Althammer & Kill, machen sie sich dann zu den praktischen Aspekten Gedanken: Wo gibt es Defizite? Wo drohen Gefahren?

Joerg und Holger begrüßen in Episode 7 als Gast den leitenden c't-Redakteur Hartmut Gieselmann. Der Grund ist nicht, dass Hartmut das Intro und Outro für den Podcast produziert hat (danke dafür!). Vielmehr war Hartmut an der Recherche zum riesigen Datenleck bei Buchbinder, einem der großen Autovermieter im deutschsprachigen Raum, beteiligt. Informationen zu mehr als drei Millionen Kunden und vielen Vorgängen rund um Vermietungsverträge standen offen im Internet. An diesem Fall erläutert Joerg exemplarisch, welche rechtlichen Folgen für das Unternehmen wegen einer solchen Panne entstehen könnten: Kleine Unachtsamkeiten, dank DSGVO große Wirkung!

Joerg und Holger lassen das Klein-Klein rund um die DSGVO ausnahmsweise hinter sich und schauen aus aktuellem Anlass auf den größten deutschen Datensauger, den Bundesnachrichtendienst (BND). Dazu konnten sie einen kompetenten Gast gewinnen: Ulf Buermeyer analysiert zusammen mit Philip Banse im Podcast "Lage der Nation" wöchentlich politische Ereignisse. Außerdem ist Ulf Richter am Landgericht Berlin und Vorsitzender der Gesellschaft für Freiheitsrechte (GFF). Die GFF hat zusammen mit anderen Organisationen eine Verfassungsbeschwerde gegen das sogenannte BND-Gesetz eingebracht, das 2016 in Kraft getreten ist. Der Kernvorwurf: Das Gesetz sei unvereinbar mit dem im Grundgesetz verankerten Post- und Fernmeldegeheimnis, außerdem gefährde es die Arbeit von Berufsgeheimnisträgern wie Ärzten und Journalisten. Am 14. und 15. Januar 2020 war nun mündliche Verhandlung des Falls. Ulf erläutert die Beschwerdegründe und berichtet vom Verlauf des Verfahrens, in dem es um Datenschutz und Privatsphäre aller Bürger geht - nicht nur im Inland.

Nach Ansicht der deutschen Datenschutzbehörden benötigen Website-Betreiber für nahezu jedes gesetzte Cookie eine Einwilligung. Vor allem gilt das, wenn es um Usertracking geht. Holger und Joerg gehen der umstrittenen Frage nach, wie man diese Einwilligungen einholen sollte und ob die allseits bekannten, nervenden Cookie-Banner dafür reichen. Da es technisch wird, haben sie sich mit Sebastian Hilbig einen kompetenten Gast eingeladen. Sebastian verantwortet in der Webentwicklung des Heise-Verlags das gerade gestartete "Consent Management" (Einwilligungslösung). Er erklärt, was Cookies überhaupt genau sind, wozu sie ursprünglich erfunden wurden, wie sie heute eingesetzt werden, um Nutzer über Webseiten hinweg zu verfolgen, und was er von den neuen datenschutzrechtlichen Vorgaben hält.

Dank DSGVO stehen Bürgerinnen und Bürgern umfassende Auskunftsrechte gegenüber Unternehmen zu, die Daten speichern. Zusammen mit Holger klären Nicolas und Joerg, wie Auskünfte beantragt werden sollten, welche Ansprüche bestehen und welche Fristen dabei gelten. Unternehmen dürfen sich übrigens wehren, wenn Personen dieses Recht böswillig und exzessiv ausnutzen. Das Bußgeld der Woche kommt diesmal nicht von einer Landesbehörde, sondern vom Bundesdatenschutzbeauftragten. Weil die nächste Folge erst für Januar 2020 geplant ist, wünschen wir vorsorglich schöne, ruhige Weihnachten und einen guten Rutsch ohne Datenverluste!

Endlich ist es geklärt: Die DSGVO schreibt sich laut Bundesverfassungsgericht ohne Bindestrich! Neben dieser weltbewegenden Nachricht befassen sich Holger, Nicolas und Joerg mit dem 2. DSAnpUG-EU – einem ergänzenden Datenschutzpaket, das am 26.11.2019 in Kraft getreten ist. Im Schwerpunkt der Episode geht es aber um ein bislang wenig beleuchtetes Thema: Schadensersatz- bzw. Schmerzensgeldansprüche, die aus Datenschutzvergehen entstehen. Joerg befürchtet, dass da eine Verfahrenslawine entstehen könnte. Erste Fälle lassen auf hohe Kosten schließen, die auf Unternehmen zukommen können.

Weil Joerg im verdienten Urlaub weilt, haben wir mit Rechtsanwalt Thomas Schwenke einen hochkarätigen Gast aus Berlin zugeschaltet. Holger und Nicolas sprechen kurz über das hohe Bußgeld gegen den Berliner Konzern Deutsche Wohnen. Im Schwerpunkt der Episode beschäftigen wir uns mit datenschutzrechtlichen Schranken beim Fotografieren: Wann benötigt man Einwilligungen, was hat sich mit der DSGVO geändert, was muss man beim Teilen von Bildern in sozialen Medien beachten? Wir beantworten eure Fragen, weshalb die Episode etwas länger ist als geplant...

Das Zittern war groß, als im Mai 2018 die DSGVO wirksam wurde. Viele befürchteten horrende Bußgelder. Doch die deutschen Datenschutzbehörden testeten erst einmal das neue Recht und beschränkten sich meist aufs Beraten. Nun geht es langsam los mit teuren Bußgeldbescheiden. Und: Die Behörden haben Mitte Oktober gemeinsam ein Berechnungsmodell vorgestellt, das Unternehmen den Angstschweiß auf die Stirn treiben dürfte. Holger, Nicolas und Joerg rechnen mal durch, was Verstöße künftig kosten könnten.

Rechtsanwälte bekommen es in der datenschutzrechtlichen Beratungspraxis mitunter mit skurrilen Anfragen von Verbrauchern zu tun. Oft geht es dabei im Alltag um die Durchsetzung von Auskunftsansprüchen und Schadensersatzforderungen. Nebenher müssen sie sich mit Rechtsschutzversicherungen um die Vergütung ihrer Tätigkeit zoffen. In der neuen Episode des c't-Datenschutz-Podcasts plaudert Niklas Mühleis ein wenig aus dem Nähkästchen. Niklas ist Rechtsanwalt und Partner in der Hannoverschen Kanzlei Heidrich Rechtsanwälte, zusammen mit Podcast-Cohost und Heise-Verlagsjustiziar Joerg. Er berichtet über konkrete Fälle und erläutert, welche Kosten anfallen, wenn man einen Anwalt engagiert, um seine Rechte durchzusetzen. Anlass des Besuchs ist, dass Niklas im neuen Heise-Podcast "Vorsicht, Kunde!" als Experte verbraucherrechtliche Fragen aus der IT-Welt juristisch einordnet (siehe Shownotes). Außerdem wagen c't-Redakteur Holger, Joerg und Niklas in der neuen Auslegungssache einen Rückblick auf die Bußgeld-Praxis der europäischen Datenschutzbehörden im vergangen Jahr 2023. Anlass ist eine zusammenfassende Statistik des DSGVO-Portals. Demnach ist die Gesamtsumme der verhängten Bußgelder in Europa um 29 Prozent gegenüber 2022 gestiegen. Insgesamt seien es 2023 2,11 Milliarden Euro gewesen, wobei allein 1,2 Milliarden auf ein einizges Bußgeld gegen Facebook zurückzuführen sind.

Die Datenschutz-Grundverordnung (DSGVO) gibt "Betroffenen" von Datenverarbeitung einige Rechte in die Hand, beispielsweise das Auskunftsersuchen und die Möglichkeit, personenbezogene Daten vom Verantwortlichen löschen zu lassen. Damit sie wissen, welche Rechte ihnen zustehen und wo sie diese einfordern können, schreibt die DSGVO außerdem in Art. 13 und 14 Informationspflichten vor. Es geht zuallererst um die allseits bekannte Datenschutzerklärung, aber nicht nur um sie. Bei den Informationspflichten steckt der Teufel oft im Detail. Grund genug für den c't-Datenschutz-Podcast, einmal genauer auf den Gesetzestext und mögliche Konstallationen in der Praxis zu schauen. Holger und Joerg bekommen dabei Unterstützung von Barbara Schmitz, Rechtsanwältin für IT- und Datenschutzrecht. Barbara berät Unternehmen zur Erfüllung der Informationspflichten und kann aus ihrem beruflichen Alltag berichten. Kaum beachtet wird in der öffentlichen Diskussion der genannte Art. 14 DSGVO, in dem es um Informationen zu Daten geht, die nicht vom Verantwortlichens selbst erhoben, aber von diesem weiterverarbeitet werden. Hierzu muss er konkret und in einer zeitlichen Frist nach Erhalt die Quelle offenlegen. Spannend: Ändert sich der Verarbeitungszeck, muss auch das mitgeteilt werden. Die Drei in der Runde grübeln darüber, wo diese Pflicht in der Praxis verfängt und ob ihnen eine solche Information schon einmal untergekommen ist.

Jüngst titelte c't in einer großen Bestandsaufnahme etwas provokant: "So kaputt ist E-Mail!" Wir zählten all die Schwächen auf, die das Kommunikationsmedium auch nach 40 Jahren nicht los geworden ist. Dazu gehört, dass sich immer noch keine Methode durchgesetzt hat, um vertrauliche Inhalte via Mail Ende-zu-Ende-verschlüsselt von A nach B zu schicken. Klar, es gibt OpenPGP und S/MIME. Doch welcher Adressat nutzt das schon? Dabei ist das Bedürfnis groß: Berufgeheimnisträger wie Ärzte, Anwälte oder Journalisten sind darauf angewiesen, dass ihre Kommunikation von niemandem abgehört werden kann. Außerdem verlangt die Datenschutz-Grundverordnung (DSGVO) in Art. 32 geeignete technische und organisatorische Maßnahmen nach Stand der Technik, die die Verarbeitung von personenbezogenen Daten absichern. Dazu gehört eben explizit auch die Verschlüsselung. In Episode 103 des c't-Datenschutz-Podcasts beschäftigen sich Holger und Joerg mit dieser Problematik auf technischer und rechtlicher Ebene. Zur Vertiefung haben sie mit c't-Redakteur Sylvester Tremmel einen Experten eingeladen, der sich seit Jahren mit Verschlüsselungsmethoden in Mailclients und Messengern auseinandersetzt. Neben den technischen Grundlagen geht es um die rechtliche Einordnung. Joerg weist auf eine Forderung der Bremer Landesdatenschutzbehörde hin, die von Rechtsnwälten verlangt, Mails an Mandanten, Prozessgegner und Kollegen Ende-zu-Ende zu verschlüsseln. Die Runde fragt sich leicht verzweifelt, wie eine solche Forderung zustandekommt und wie sie realisiert werden könnte, obwohl die Adressaten oftmals vor verschlüsselten Mails wie der berühmte Ochs vorm Berg stehen. Die Ratlosigkeit steigt, als ein aktueller Gesetzentwurf aus dem Bundesdigitalministerium zur Sprache kommt: Die geplante Novelle des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sieht vor, dass jeder E-Mail- und Messenger-Nutzer Ende-zu-Ende-Verschlüsselung beherrschen, aber nicht verpflichtend anwenden muss. Die Runde ist sich einig, dass noch viel Fortschritt bei der E-Mail nötig ist, um dieses Ziel zu realisieren. Sylvester und Holger sind sich einig: Wer bequem und dennoch abhörsicher kommunizieren will, greift derzeit am besten zu verschlüsselnden Messengern wie Signal.

Derzeit spielt sich um den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber ein unwürdiges politisches Schauspiel vor den Augen der Öffentlichkeit ab. Kelber, dessen erste fünfjährige Amtszeit am 7. Januar ablief, ist derzeit nur noch geschäftsführend im Amt. Und dies ist der Fall, obwohl sich der SPD-Politiker und Informatiker einen hervorragenden Ruf im Amt erarbeitet hat und in der Datenschutz-Community hoch geachtet wird. Kelber selbst hat in einem ungewöhnlichen Statement selbst erklärt, dass er sich gerne für eine weitere fünfjährige Amtszeit zur Verfügung stellt. Er müsste dafür von der Bundesregierung vorgeschlagen und vom Bundestag gewählt werden. Für seine erste Amtzeit hatte ihn 2019 die SPD vorgeschlagen. Doch die verzichtete nun auf diese Möglichkeit. Der Grund dafür könnte sein, dass sie bereits andere Posten zugeschlagen bekommen hat, vielleicht war ihr Kelber aber auch zu unbequem geworden. Nun liegt das Vorschlagsrecht innerhalb der Ampelkoalition bei den Fraktionen von FDP und Grünen. Die tun sich augenscheinlich schwer, eine geeignete Person als Nachfolger zu benennen, die den Job unter diesen Umständen noch annehmen würde. Parteilos sollte diese Person sein, und fachlich qualifiziert, ist aus den Fraktionen zu hören. Wie die Sache ausgeht, scheint derzeit völlig offen. Dieser unschönen Gemengelage nimmt sich der c't-Datenschutz-Podcast Auslegungssache in seiner aktuellen Episode an. Redakteur Holger Bleich hat sich dazu zwei Gäste eingeladen, die die Lage fachkundig analysieren und ihre Meinung dazu nicht hinter dem Berg halten: Dr. Stefan Brink war selbst bis Ende 2022 Landesdatenschutzbeauftragter in Baden-Württemberg und kennt sich mit den Verfahren bestens aus. Falk Steiner berichtet als freier politischer Korrespondent seit langen Jahren für c't und heise online aus Berlin und Brüssel. Im Podcast erläutert er die politischen Scharmützel rund um die Neubesetzung des Amts und ordnet sie in größere Zusammenhänge ein. Brink hält das Ernennungsverfahren von Leitern der Datenschutzbehörden für völlig intransparent und nicht vereinbar den Vorgaben aus Art. 53 DSGVO: "Es muss ja nicht nur der Wahlakt selbst transparent sein, es beginnt früher. Wo bleiben die Ausschreibungen, aus denen mehrere Bewerber hervorgehen, um eine Auswahl zu haben?" Momentan würden die der Kontrolle Unterworfenen ihre eigenen Kontrolleure bestimmen. Brink weist im Podcast ausdrücklich darauf hin, dass auch er 2016 in einem solchen Verfahren gewählt wurde. Ob er selbst für das Amt des BfDI zur Verfügung stünde? "Ein klares Nein! Man hat mich mehrmals gefragt, und sogar an mich appelliert, mein Nein zu überdenken." Aus dem politischen Berin weiß Steiner zu berichten, dass "zurzeit hinter den Kulissen gemauschelt wird ohne Ende". Da sei auch ein Machtspiel innerhalb der SPD in Gange, bei dem es sogar um rheinischen Klüngel gehe: "Es spielen da Dinge eine Rolle, die mit Datenschutz rein gar nichts zu tun haben." Welche das sind, erfahren Sie in der Podcastepisode.

Gespannt hatte die Datenschutz-Community im Dezember vergangenen Jahres nach Luxemburg geblickt. Gleich sechs Entscheidungen des Europäischen Gerichtshofs standen an, die mehr Klarheit in strittige Fragen zur DSGVO-Auslegung bringen sollten. Doch haben sie diese Erwartung erfüllt? Dieser Frage gehen Joerg Holger in dieser Episode nach. Bereits zum dritten Mal stellte sich Prof. Alexander Golland als Experte zur Verfügung, um im Podcast die Sachlagen kompetent einzuordnen. Alexander lehrt und forscht an der Fachhochschule Aachen zum Recht der Digitalisierung und ist daneben Autor und Herausgeber zahlreicher Veröffentlichungen zum Datenschutzrecht sowie Schriftleiter der Fachzeitschrift "Datenschutz-Berater". Zunächst diskutieren die Drei die EuGH-Entscheidung "Schöner Wohnen" (C-807/21). Dieser zufolge sind DSGVO-Bußgelder gegen Unternehmen möglich, wenn sie ein Verschulden trifft. Ein Fehlverhalten einzelner Mitarbeiter muss hingegen nicht nachgewiesen sein. Dieses muss sich das Unternehmen als juristische Person zurechnen lassen, so der EuGH. Beide Streitparteien werteten das Urteil als Erfolg. Alexander bezeichnet es als "salomonisch" und meint, eigentlich kann sich keine der beiden Seiten darüber freuen sollte. Weiter geht es in der Episode mit den Entscheidungen "NAP" (C-340/21) und "Gemeinde Ummendorf" (C-456/22). Hier wurden Schadensersatzansprüche nach Art. 82 DSGVO aus Datenschutzverstößen heraus verhandelt, konkret ein Cyberangriff, bei dem eventuell personenbezogene Daten abgezogen wurden. Der EuGH entschied de facto eine Beweislastumkehr: Verantwortliche müssen künftig nachweisen, dass ihre Systeme nach Art. 32 DSGVO ausreichend gesichert waren, wenn jemand einen Schaden behauptet. Dem Urteil zufolge können bereits Sorgen und Befürchtungen um einen möglichen Datenverlust einen Schadenersatzanspruch begründen. Doch das die Ängste einen Schaden darstellen, müssen die Betroffenen im Einzelfall nachweisen. Alexander hält diesen Nachweis je nach Umstand für schwierig: "Vielleicht muss mir die Ehefrau bestätigen, dass ich aus Furcht vor dem Missbrauch meiner Daten jede Nacht von drei bis fünf Uhr morgens bibbernd auf der Bettkante saß? Oder ich muss eine Art Angsttagebuch vorlegen können?"

ChatGPT, Midjourney und Co. stellen die Datenschützer vor völlig neue Herausforderungen. Womit darf man generative KI trainieren? was sollte man beim Nutzen der Blackbox-Modelle beachten, um die Preisgabe personenbezogner Daten zu vermeiden, oder zumindest zu minimieren? Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an die Betreiber? Der Datenschutz muss sehr aufpassen, um nicht wieder als Bremser des Fortschritts dazustehen, meint Joerg. Zusammen mit Holger diskutiert er in der Podcast-Episode die möglichen Rechtsgrundlagen und schätzt die momentane Lage ein. Den beiden kompetent zur Seite steht Dr. Michael Koch. Michael ist Mitarbeiter von Joerg in der Rechtsabteilung des Verlags und vertiefte diese Themen zusammen mit ihm viele Male in Webinaren des Verlags. Außerdem ist er Datenschutzmentor für Start-Ups in Hannover und Referent und Fachautor zu den Themengebieten IT-Recht und Datenschutz. Die drei erörtern, wo beim Einsatz von generativer KI welche personenbezogenen Daten verarbeitet werden können - und wo Probleme entstehen. Ein Disput entsteht in der Diskussion, als es um das "Scraping" öffentlich zugänglicher Daten im Web zu Trainingszwecken geht, wie es beispielsweise OpenAI betreibt: Muss man damit rechnen, dass alle veröffentlichten Informationen potenziell als Trainingsmaterial für Sprach-KIs oder Bildgeneratoren fungieren? Michael erläutert, wie eine betriebliche Nutzung von Chatbots mit einer Richtlinie geregelt werden könnte, etwa mit Compliance-Vorschriften und gemeinsam genutzten Funktions-Accounts. Ausführlicher besprechen die Drei außerdem die "Checkliste zum Einsatz LLM-basierter Chatbots", die der Hamburgische Landesdatenschutzbeauftragte öffentlich bereitgestellt hat. Wer sich daran halte, habe schon sehr viel dafür getan, um auf der rechtssicheren Seite zu sein, ist sich Joerg sicher.

Geht es nach dem Willen der EU, wird bald jeder Bürger der 27 Mitgliedsstaaten eine europäische digitale Identität (EUid) auf Basis von digitalen Brieftaschen (E-Wallets) erhalten. Bereits 2030 sollen sich 80 Prozent aller EU-Bürger online im Web damit ausweisen können. Die gesetzliche Grundlage dazu nennt sich eIDAS-Verordnung 2.0 (electronic IDentification, Authentication and trust Services). Diese Novellierung der ersten eIDAS-Verordnung aus dem Jahr 2014 hat fast alle gesetzgeberischen Hürden genommen: Am 9. November wurde ein Kompromiss zwischen EU-Rat, Parlament und Kommission erzielt, und am 7. Dezember hat Industrieausschuss des Parlaments diese Vorlage abgesegnet. Stimmt das gesamte Parlament voraussichtlich im Februar 2024 zu, könnte das Gesetz bereits im Frühjahr 2024 in Kraft treten. Doch der Entwurf enthält einen Artikel, der von zivilgesellschaftlichen Organisationen, aber auch IT-Experten aus dem universitären Umfeld scharf kritisiert wird. Warum das so ist, diksutieren die c't-Redakteure Holger Bleich und Sylvester Tremmel sowie der stellvertretende Chefredakteur Jan Mahn ausführlich in Episode 99 des Datenschutz-Podcasts Auslegungssache. c't hat sich in der aktuellen Ausgabe 29/2023, die am heutigen 15. Dezember erscheint, in einem Artikelschwerpunkt mit vielen Facetten dieser Problematik beschäftigt. In erster Linie geht es um Artikel 45 des Entwurfs. Dieser sieht vor, dass Browser wie Chrome, Edge, Firefox, und Safari künftig sogenannte qualifizierte Zertifikate (Qualified Website Authentication Certificates, QWACs) für die Webseiten-Authentifizierung anerkennen müssen. Die Anbieter der Browser sollen Aussteller dieser QWACs, die sogenannten Vertrauensdienste, per Gesetz als sichere Zertifikatsanbieter akzeptieren und in ihre Root-CA-Stores aufnehmen. Die Gefahr dabei: Diese staatlich kontrollierten Anbieter könnten Hintertüren einbauen, um die Verschlüsselung zu kompromittieren und Nutzer zu überwachen. Das ist keine hypothetische Gefahr, totalitäre Regimes und Geheimdienste weltweit haben großes Interesse, den Verkehr ihrer eigenen oder von ausländischen Bürgern abzuhören. Ein Schreckensszenario, das technisch nicht ausgeschlossen wäre: Die staatliche Zertifizierungsstelle von Ländern wie Ungarn könnte falsche Zertifikate für alle Websites ausstellen und der Geheimdienst des Landes könnte den Verkehr mitlesen. Technisch gibt es keinen Mechanismus, dass ungarische Zertifikate nur dort gelten – das Szenario träfe damit alle Europäer. Immer wieder warnen Browser-Hersteller und Wissenschaftler davor, ein Szenario per Gesetz zu ermöglichen, das die Vertraulichkeit von Kommunikation und damit auch den Datenschutz der Bürger derart aushöhlt.

Es wird langsam zur Tradition im c't-Datenschutz-Podcast: Ehemalige Behördenleiter kommen gerne als Gäste, um die High- und Lowlights ihrer Amtszeit gemeinsam mit Holger und Joerg Revue passieren zu lassen. Und das ohne jene Redebeschränkungen, die ihnen ihre Position auferlegt hatte. In Episode 98 plaudert die ehemalige Landesdatenschutzbeauftrage Niedersachsens Barbara Thiel aus dem datenschutzrechtlichen Nähkästchen. Thiel amtierte von 2015 bis Mitte 2023 und erlebte den Awareness-Wandel, den die DSGVO mit sich brachte, als Behördenleiterin an vorderster Front mit. In Podcast erzählt sie, wie der Start verlief, welche Schwerpunkte sie sich aussuchte und auf welche Widerstände sie im Laufe ihrer Amtszeit stieß. Thiel berichtet von wenig bekannten Verfahren, ordnet aber auch spektakuläre Bußgelder ein, die sie verhängt hat. Im Gespräch bemängelt sie, dass es zu wenig Ambitionen gibt, die Datenschutzregulierung auf deutscher Ebene zu vereinheitlichen und in den europäischen Kontext einzuhegen. An dieser Stelle will sie sich ihren Aussagen zufolge auch künftig engagieren. Erstmals schildert Thiel außerdem öffentlich ihre Motivation dazu, gegen die Ernennung ihres Nachfolgers gerichtlich vorzugehen. Sie kritisiert, dass ihr Nachfolger und CDU-Politiker Dennis Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben. Das Verwaltungsgericht Hannover wies Thiels Klage ab, am 15. September schließlich bestätigte auch das Oberverwaltungsgericht Lüneburg, dass Lehmkemper entgegen Thiels Auffassung ernannt werden kann, was Tags darauf auch geschah. Thiel betont im Podcast, dass sich ihre Klage keinesfalls gegen ihren Nachfolger gerichtet habe. Vielmehr vermutet sie beim Ernennungsverfahren in Niedersachsen einen Verstoß gegen Artikel 53 DSGVO, der nicht nur ein transparentes Ernennungsverfahren verlange, sondern auch die erforderliche Sachkunde und Qualifikation des Bewerbers fordere. Schließlich sei allerdings zu ihrem Bedauern in der Sache nicht einmal entschieden worden.

Seine Ernennung verzögerte sich etwas, doch nun ist der niedersächsische Landesdatenschutzbeauftragte Denis Lehmkemper fast ein Jahr im Amt. Im c't-Datenschutz-Podcast spricht er mit Holger und Joerg über über den Prozess seiner Berufung und dieses erste Jahr. Direkt nach Amtsantritt habe er eine "gut aufgestellte Behörde vorgefunden" und "erst einmal viel zugehört". Lehmkemper vertritt eine kooperative Linie. Seinen Worten zufolge möchte er Dinge ermöglichen und lösungsorientiert arbeiten. In der Episode erläutert er beispielsweise, wie seine Behörde zum Ergebnis kam, dass Microsoft Teams in der niedersächsischen Landesverwaltung anders als in einigen anderen Bundesländern eingesetzt werden darf. Man habe gemäß der Linie der Datenschutzkonferenz mit Microsoft für Niedersachsen die Datenschutzvereinbarungen desn Konzerns angepasst. Um Lösungen für den Einsatz von KI von Wirtschaft und Verwaltung im Bundesland zu finden, hat Lehmkemper einen eigenen Expertenkreis eingerichtet. Zu den zwölf Teilnehmern zählen Vertreter aus der niedersächsischen Wirtschaft und Wissenschaft, der öffentlichen Verwaltung und Datenschutzexperten aus dem gesellschaftlichen Umfeld. Sie sollen "technische und rechtliche Gestaltungsvorschläge" erarbeiten. Dieser von Lehmkemper auch KI-Rat genannte Kreis wird sich zum ersten Mal am 14. August treffen.

Als die Datenschutz-Grundverordnung 2018 wirksam wurde, führte das regelrecht zu panischen Reaktionen bei vielen ehrenamtlich Tätigen, beispielsweise in den mehr als 600.000 eingetragenen Vereinen. Dies hat einen simplen Grund: Zur negativen Überraschung sah das neue EU-Gesetz keinerlei Erleichterungen für sie vor. Nach dem Motto "one size fits all" gelten dieselben Bestimmungen für den Vorsitzenden des Taubenzüchtervereins wie für einen US-amerikanischen Megakonzern. Mitterweile haben sich die Wogen geglättet, denn bislang lassen die Aufsichtsbehörden Milde walten. Nur in wenigen Fällen setzte es Bußgelder gegen Vereine, und wenn, ging es um eher geringe Beträge im dreistelligen Bereich. Dennoch tun Verantwortliche in Vereinen gut daran, sich mit den Vorgaben der DSGVO zu beschäftigen. Dies gilt insbesondere für die Dokumentationspflichten und die technisch-organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten der Mitglieder. Die Aufsichtsbehörden selbst leisten da eher wenig konkrete Hilfestellung. Deshalb hat sich die Stiftung Datenschutz des Themas angenommen und unter dem Motto "Datenschutz im Ehrenamt" umfangreiches Infomaterial bereitgestellt. Verantwortlich für diesen Bereich ist Hendrik vom Lehn, Referent für Datenschutzrecht bei der Stiftung und Diplom-Informatiker. Im c't-Datenschutz-Podcast erläutert er, welche Besonderheiten Vereinsverantwortliche beachten sollten. Beispielsweise gilt es, ehrenamtliches Personal zur Verschwiegenheit beim Umgang mit personenbezogenen Daten zu verpflichten, zumal, wenn es um besonders sensible Gesondheitsdaten geht. Außerdem empfiehlt Hendrik, eine Person zu benennen, die alle Datenschutzbelange überblickt und koordiniert. Zusätzlich kann je nach Größe des Vereins nötig werden, einen offiziellen Datenschutzbeauftragten zu qualifizieren oder von extern zu bestellen. Hendrik berichtet aus der Praxis von besonders häufigen Problemstellungen, beispielsweise dem Umgang mit Fotos und Videos - und wie man damit umgehen sollte.

Nach einem außergewöhnlich langen Gesetzgebungsverfahren ist am 2. Juli 2023 das erste Gesetz in Kraft getreten, das den Schutz von Whistleblowern insbesondere in Unternehmen regelt. Damit hat Deutschland die EU-Richtlinie 2019/1937 (Hinweisgeberrichtlinie) umgesetzt. Weil die Bundesrepublik dabei alle Fristen gerissen hat, läuft ein millionenschweres Vertragsverletzungsverfahren. In der Podcast-Episode werden die Genese des Gesetzes, Kompromisse bei der Umsetzung sowie die konkreten Anforderungen zum Schutz von Hinweisgebern diskutiert. Dazu haben Holger und Joerg einen kompetenten Gesprächspartner eingeladen: Dr. Simon Gerdemann war indirekt an der Enstehung des Gesetzes beteiligt und leitet derzeit das Projekt "Wirkungsanalyse des deutschen und europäischen Whistleblowing-Rechts" an der Uni Göttingen. Simon erklärt, für welche Unternehmen das Gesetz gilt, in welcher Form sie Hinweise von Mitarbeitern auf Missstände entgegennehmen müssen und wie sie darauf den Vorschriften zufolge reagieren sollten. Außerdem erläutert er die Funktion von externen Meldestellen, an die sich Whistleblower nun ebenfalls wenden können. Nicht zuletzt geht es hier um teils höchst sensible personenbezogene Daten, weshalb auch die datenschutzrechtlichen Implikationen zur Sprache kommen. Schlussendlich ist sich die Runde einig, dass das Hinweisgeberschutzgesetz zwar nicht der Weisheit letzten Schluss, aber einen guten Anfang darstellt. Was fehle, sei insbesondere die verbriefte Möglichkeit für Whistleblower, brisante Informationen zu Missständen auch garantiert annonym melden zu können.

Längst nicht jeden Umgang mit personenbezogenen Daten in Europa regelt die DSGVO. Für viele Unternehmen und Organisationen gelten eigene Datenschutzvorschriften, etwa für den Rundfunk, den Journalismus und vor allem für Kirchen und andere Religionsgemeinschaften. So haben sich die katholische und die evangelische Kirche in Deutschland eigene Gesetze geschrieben, die zwar an die DSGVO angelehnt sind, aber auch erhebliche Unterschiede aufweisen. Wie ist das möglich, wo doch die DSGVO unterschiedslos in der ganzen EU gelten soll? Die Verordnung enthält in Artikel 91 eine Ausnahme. Sie besagt, dass Kirchen ihre Datenschutzvorschriften behalten dürfen, wenn diese schon vor Frühjahr 2016 gegolten haben und "umfassend" sind. Warum diese Ausnahme zustande kam und welche Konsequenzen sie in der Praxis mit sich bringt, diskutieren Holger und Joerg. Ihnen zur Seite steht in dieser Episode mit Felix Neumann der Experte für kirchlichen Datenschutz in Deutschland. Felix arbeitet als Journalist beim Portal katholisch.de und betreibt nebenher das Blog "Artikel 91", in dem es um die Auswirkungen der Sonderregelung geht. Nach seinen Recherchen geht sie auf intensive Lobbyarbeit der deutschen Kirchen sowie auf den Einsatz der deutschen Bundesregierung im Gesetzgebungsprozess zur DSGVO zurück. Felix erklärt im Podcast, welche Unterschiede die kirchlichen Datenschutzgesetze zur DSGVO aufweisen. Insbesondere definieren sie abseits von staatlicher Kontrolle eine eigene Aufsichtsstruktur, und sie enthalten wesentlich geringere Sanktionierungsmöglichkeiten: Während die DSGVO Bußgelder von bis zu 20 Millionen Euro vorsieht, deckeln die Kirchengesetze die Strafe auf maximal 500.000 Euro. Besonders spannend ist die Frage, welche Religionsgemeinschaften außer den großen Kirchen Anspruch auf eigene Datenschutzregeln erheben. Dies schildert Felix ausführlich, auch Anhand einer gerichtlichen Auseinandersetzung der Selbständigen Evangelisch-Lutherischen Kirche (SELK) mit der niedersächsischen Landesdatenschutzaufsicht. Hier steht im Raum, dass grundsätzliche Fragen dazu noch vor dem Europäischen Gerichtshof (EuGH) landen könnten.

Seit dem 10. Juli dieses Jahres gilt das EU-US Data Privacy Framework. Die Vereinbarung erlaubt es Unternehmen, unter gewissen Voraussetzungen Daten in die USA zu transferieren. Die Erlaubnis beruht auf einem erneuten Angemessenheitsbeschluss der EU-Kommission, nach dem die Vorherigen vom Europäischen Gerichtshof einkassiert worden waren. Was genau dieses DPF ist und was Unternehmen beachten müssen, hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anfang September in ausführlichen Anwendungshinweisen gut verständlich erläutert. Anders als vergleichbare Beschlüsse mit weiteren Staaten erlaubt die Neuregelung nicht grundsätzlich eine Weitergabe über den Atlantik, wie die DSK betont. Das DPF wirkt sektoral und erfasst nur Datenübermittlungen an solche US-Unternehmen und -Organisationen, die aktiv an diesem Programm teilnehmen und sich in eine entsprechende Liste eintragen lassen. In Episode 93 des c't-Datenschutz-Podcasts erläutern Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich, was sich mit dem DPF für Unternehmen, aber auch für Bürgerinnen und Bürger ändert. Ihnen kompetent zur Seite steht dabei Carola Sieling. die Fachanwältin für IT-Recht berät in ihrer Kanzlei Unternehmen in Datenschutz-Belangen und fungiert als Datenschutzbeauftragte. Zusammen lesen sich die Drei kommentierend durch das DSK-Papier. Neben dem DPF diskutieren sie außerdem ein hohes Bußgeld, das die irische Datenschutzbehörde gegen die TikTok Technology Limited, also den europäischen Ableger von TikTok/Bytedance, ausgesprochen hat. Das Unternehmen soll 345 Millionen Euro zahlen, weil es im Beobachtungszeitraum 2020 diverse Verstöße im Umgang mit den Daten Minderjähriger begangen hat.

Die Struktur der Datenschutzaufsicht gilt in Deutschland als so komplex wie in keinem anderen EU-Staat. Grund dafür ist das föderale Prinzip, dem die Aufsicht unterliegt. Insgesamt 17 Landesbehörden wachen darüber, dass öffentliche und private Stellen die Datenschutz-Grundverordnung (DSGVO) befolgen - und legen dabei bisweilen höchst unterschiedliche Maßstäbe an. Auch die Besetzung der Behördenleitung vollzieht jedes Bundesland anders, was immer wieder zu Verwerfungen führt. Das Land Sachsen-Anhalt beispielsweise sucht sage und schreibe seit fünf Jahren einen Nachfolger für den 2018 ausgeschiedenen Landesdatenschutzbeauftragten (LfD) Harald von Bose. Aus verschiedenen Gründen scheiterte die Wahl eines neuen LfDs immer wieder im Landtag. Diese Posse zieht sich bis heute: Zuletzt hat Ende Juni der aktuelle Kandidat Daniel Neugebauer keine Mehrheit erhalten, obwohl er von der Regierungskoalition aus CDU, SPD und FDP vorgeschlagen war; Und, obwohl die Landesregierung im April umstrittenerweise sogar das Wahlverfahren vereinfacht hatte, indem sie das Ausschreibungsverfahren abschaffte. In Niedersachsen war der neue LfD Denis Lehmkemper vom Landtag bereits gewählt und schon fast im Amt, als seine Vorgängerin Barbara Thiel im Juni per Eilantrag gegen seine Ernennung klagte. Thiel kritisiert, dass ihr Nachfolger und CDU-Politiker Lehmkemper mittels einer Absprache zwischen den Koalitionsfraktionen SPD und Grünen einerseits und der CDU-Landtagsfraktion andererseits vorgeschlagen wurde. Es habe keine Ausschreibung gegeben, obwohl die DSGVO eine Auswahl nach Qualifikation, nicht nach Parteibuch verlange. Das Verwaltungsgericht Hannover wies Thiels Klage ab, derzeit liegt das Verfahren in nächster Instanz beim Oberverwaltungsgericht Lüneburg. Nur, wenn auch dort die Klage abgewiesen wird, kann Lehmkemper die Behördenleitung wohl noch im September übernehmen. Für den c't-Datenschutz-Podcast war es höchste Zeit, sich einmal den Verfahren zur Ernennung von LfDs zu widmen. Unterstützung holten sich Heise-Justiziar Joerg Heidrich und Redakteur Holger Bleich an der Hochschule Hannover: Fabian Schmieder forscht und lehrt dort seit 2015 als Professor für Medienrecht mit Schwerpunkt Urheber- und Datenschutzrecht. Im Podcast erläutert er, welche Vorgaben der einschlägige Artikel 53 DSGVO zu Auswahlverfahren, Transparenz und Qualifikation von Aufsichtsbehördenleitern enthält. Es entsteht in der Episodeeine lebendige Diskussion zu den verschiedenen Verfahren in den Bundesländern. Schmieder weist darauf hin, dass die EU selbst ihren Datenschutzbeauftragten über eine Findungskommission ermittelt, die mindestens drei Bewerber vorschlagen muss. Er regt an, derartige Verfahren auch in den Bundesländern einzuführen und verweist unter anderem auf das in Artikel 33 Grundgesetz festgeschriebene Prinzip der Bestenauslese. Das demokratische Wahlverfahren durch die Landesparlamente hält Schmieder für gut, gibt aber zu Bedenken, dass es dabei immer die Gefahr von fehlenden Mehrheiten gibt - siehe Sachsen-Anhalt.

Die Datenschutz-Grundverordnung (DSGVO) beruht auf dem Verbotsparadigma: Das Erheben und Speichern von personenbezogenen Daten ist untersagt, außer es es ist erlaubt. Eine Erlaubnis kann sich nur aus Art. 6 ergeben, in dem die Rechtsgrundlagen definiert sind, also beispielsweise ein "berechtigtes Interesse" oder eine widerrufbare Einwilligung des Dateninhabers. Fällt die Rechtsgrundlage weg, muss der Verantwortliche unverzüglich die erhobenen Daten löschen. Das muss er auch tun, wenn der Dateninhaber von seinem Recht auf "Löschen auf Zuruf" nach Art. 17 DSGVO Gebrauch macht. Diese Gemengelage macht deutlich, auf welch tönernen Füßen datengetriebene Geschäftsmodelle in der EU stehen. Auch die neuen Datengesetze wie der Data Act und Data Governance Act hebeln das Verbotsparadigma nicht aus, sondern müssen sich ihm unterordnen. Hinzu kommt, dass diverse nationale Vorschriften von Behörden und Unternehmen fordern, beispielsweise Verträge und Rechnungen eben nicht zu löschen, sondern innerhalb einer Frist verfügbar zu halten. Zusätzlich gibt es die Pflicht, geschäftliche E-Mails zehn Jahre lang zu archivieren. Außerdem sollen Verantwortliche Backups ihre Datenbestände vorhalten. All diese Ausnahmen deckt Art. 17, Abs. 3 DSGVO. Doch wie soll man das alles praktisch umsetzen; wie löscht man wirklich sicher Daten, um seinen Pflichten nachzukommen? Darüber sprechen Heise-Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich in Episode 91 des c't-Datenschutz-Podcasts Auslegungssache. Als kompetenter Gast steht ihnen dabei Dr. Christoph Wegener zur Seite. Wegener ist promovierter Physiker und seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Im Podcast erläutert er, welche Methoden er zum Löschen von Daten empfiehlt und gibt hilfreiche Tipps für die Praxis in Unternehmen.

Na klar, jeder weiß es: Wer kostenlose Plattformen wie Facebook nutzt, bezahlt zwar kein Geld, dafür willigt er oft stillschweigend ein, dass seinen dort hinterlassenen Daten analysiert und genutzt werden. Der Deal lautet: Plattformzugang gegen das Ausspielen personalisierter Werbung. Er findet sich allerorten, beispielsweise auch auf den kostenfreien Angeboten deutscher Verlagshäuser. Was viele nicht wissen: Das Gegenschäft "Leistung gegen Daten" existiert keineswegs nur informell, sondern findet seit Beginn 2022 auch Niederschlag im Bürgerlichen Gesetzbuch (BGB, § 312 Abs. 1a und § 327 Abs. 3). De facto gelten seitdem im digitalen Bereich beim Bezahlen mit Daten dieselben Regeln wie bei Geldzahlungen. Und das hat Folgen, denn Verbraucher haben nun dieselben Rechte. Und Unternehmen treffen dieselben Informations- und Gewährleistungspflichten wie beim Deal "Leistung/Ware gegen Geld". Doch wann genau kommt ein solcher Vertrag zustande? Und wo beißt sich das neue deutsche Recht mit der Prinzipien der Datenschutz-Grundverordnung (DSGVO), etwa der Zweckbindung und dem Kopplungsverbot? Um diese und viele weitere Fragen geht es in Episode 90 des c't-Datenschutz-Podcasts. Holger und Joerg sprechen dazu mit Prof. Dr. Anna K. Bernzen. Die promovierte Juristin verfasst derzeit als Akademische Rätin an der Rheinischen-Friedrich-Wilhelms-Universität Bonn ihre Habilitationsschrift zum Verbraucherschutz in der Plattformökonomie. Seit Oktober 2022 ist sie außerdem Juniorprofessorin für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Im Podcast erläutert Anna die Grundlagen des neuen digitalen Vertragsrechts im BGB, weist auf Konfliktpotenzial hin und gibt Tipps für die Praxis.

Was wenige Hörerinnen und Hörer wissen dürften: Im August 2020 war der Heise-Verlag, genauer die Heise Medien GmbH & Co. KG, ins Visier der Datenschutzaufsicht des Landes Niedersachsen geraten - also der für den in Hannover ansässigen Verlag zuständigen Behörde. Die Landesdatenschutzbeauftragte (LfD) kritisierte die Art und Weise, wie heise online Einwilligungen zum Setzen von First- und Third-Party-Cookies abfragt. Dabei ging es um die optische Gestaltung des sogenannten Consent-Frameworks ebenso wie um das alternative Angebot eines Tracking-freien, aber dann kostenpflichtigen "Pur-Abos". Der Verlag hat die Kritik angenommen und in einem intensiven Austausch mit der Behörde Änderungen vorgenommen sowie Lösungen erarbeitet. Im Dezember 2022 war ein wichtiger Zwischenschritt erfolgt, doch erst im April 2023 zeigte sich die Behörde vollständig zufrieden mit der auf heise online eingesetzen Einwilligungseinholung für Cookies. Im Mai schließlich kamen alle Verfahren zum Abschluss, die Lösung auf heise online wurde abschließend als rechtskonform erklärt. Viele weitere Großverlage haben den Prozess, den man vielleicht als "Musterverfahren" bezeichnen kann, aufmerksam verfolgt und stehen im Austausch mit den technisch und juristisch Verantwortlichen bei Heise. Zwei dieser Verantwortlichen sind Verlagsjustiziar Joerg Heidrich sowie Sebastian Hilbig. Sebastian ist als Technischer Leiter (CTO) bei Heise Medien für die Weiterentwicklung der gesamten digitalen Infrastruktur zuständig. Zu seinem Verantwortungsbereich zählen die Web-Entwicklung, das IT-Systemmanagement und die Produktion. In der Auslegungssache erläutert er zunächst, was Cookies genau sind und welche Problematiken mit ihnen einhergehen. Anschließend arbeitet er zusammen mit Joerg und Holger das Verfahren auf und schildert die Knackpunkte, die auch technischer Art waren. In der Rubrik "Bußgeld der Woche" geht es diesmal außerdem ausgerechnet um ein Bußgeld, dass die Landesdatenschutzbeauftragte Niedersachsens gegen eine Privatperson verhängt hat. Mehrere weibliche Jugendliche hatten den Eindruck, in der Innenstadt von einer männlichen Person verfolgt und fotografiert zu werden. Eine Kontrolle des Smartphones durch die Polizei hatte anschließen ergeben, dass die Betroffenen der gezielte Fokus mehrerer Fotografien waren. Sie informierte die LfD, die im Fotografieren auf der Straße eine unerlaubte Datenerhebung sah. Kritiker befürchten nun bereits das Ende der Streetphotography. Was ist dran? Hinweis in eigener Sache: Die Auslegungssache geht in eine kurze Sommerpause. Die nächste Episode 90 ist für den 11. August 2023 geplant.

Im Rahmen ihrer Datenstrategie vollzog die EU-Kommission ab 2020 eine Kehrtwende in der rechtlichen Behandlung von personenbezogenen Daten: Während die geltende Datenschutz-Grundverordnung (DSGVO) einen sehr restriktiven Ansatz verfolgt, stellen alle derzeit in diesem Bereich geplanten Verordnungen die Wertschöpfung und die Förderung der Datenwirtschaft in den Vordergrund. Weil die DSGVO dennoch nicht angetastet werden soll, sind Widersprüche vorprogrammiert. Holger und Joerg exerzieren diese Ungereimtheiten anhand des Data Acts, also des auf deutsch so bezeichneten "Datengesetzes", einmal durch. Dazu haben sie eine absolute Expertin eingeladen: Stephanie Richter beschäftigt sich als Rechtsanwältin und Associate in der Kanzlei TaylorWessing seit längerem mit der Genese des Data Acts, und hat dabei auch die Konflikte des Entwurfs mit den bestehenden DSGVO-Regelungen seziert. Den ersten Entwurf zum Data Act hat die EU-Kommission im Februar 2022 vorgelegt. Mittlerweile haben sich Rat und EU-Parlament auf Positionen zu dem Vorschlag festgelegt, und das Gesetzeswerk durchläuft die Kompromissfindung im Trilogverfahren. Eventuell wird dieser Kompromiss noch in diesem Monat stehen, sodass der Data Act bald verabschiedet werden könnte. Vermutlich bleiben dann Unternehmen gerade einmal 12 Monate, um alle Forderungen technisch und organisatorisch umzusetzen. Und die haben es in sich: Der Data Act soll dafür sorgen, dass Daten, die von Geräten gesammelt werden, nicht in Silos (Clouds) der Hersteller verbleiben, sondern auf Wunsch der Dateninhaber über Vermittlungsdienste gehandelt werden können. Dabei kann es um Fahrzeuge genau wie um IoT-Geräte oder Sprachassistenten gehen. Betroffen sind Verbraucher als Nutzende genauso wie Unternehmen. Es geht um "Accessability by Design", also um Interoperabilität und Schnittstellen. Stephanie weist darauf hin, dass Datenpools meist aus einem unsortierten Bestand von personenbezogenen und anonymen Daten bestehen, sogenannten "Mischdaten". Die mit dem Data Act einhergehende Pflicht für Hersteller, diese Daten zugänglich zu machen, kollidiere mit dem Gebot zur Datenminimierung in der DSGVO. Würden Mischbestände weit ausgelegt, drohe eine Schwächung des Datenschutzes. Umgekehrt könnten Unternehmen den Datensschutz vor sich hertragen, um den Forderungen des Data Acts zu entgehen. Die Rechtsanwältin schildert im Podcast weitere Kollisionen und weist außerdem auf die Problematik hin, dass Daten auch Geschäftsgeheimnisse enthalten. Im Fazit prognostiziert sie neue Rechtsunsicherheiten sowohl für Verbraucher als auch für Unternehmen. Es bedürfte wohl jahrelanger Gerichtsverfahren und einiger EuGH-Entscheidungen, bis klar sei, ob der Data Act die von der EU-Kommission gesteckten hohen Ziele erreichen könne.

Nun ist es soweit: Nach jahrelangen Verhandlungen tritt die KI-Verordnung der EU am 1. August tatsächlich in Kraft, weil sie am 14. Juli im Amtsblatt der EU veröffentlicht wurde. Allerdings kommt sie erst nach Übergangsfristen schrittweise zur Anwendung. Verbote von KI-Kategorien, etwa von Social Scoring, treten nach sechs Monaten in Kraft, die Verpflichtungen für allgemeine KI-Modelle (General Purpose AI, GPAI) gelten nach 12 Monaten und die Regeln für hochriskante KI-Systeme gelten nach 36 Monaten. Am meisten Arbeit dürften Unternehmen und Behörden die umfangreichen Transparenz- und Dokumentationspflichten machen. Im c't-Datenschutz-Podcast werfen Redakteur Holger Bleich und heise-Verlagsjustiziar einen genaueren Blick auf diese - je nach Risikokategorie - unterschiedlich scharfen Regeln. Zur Seite steht ihnen dabei Aurea Verebes. Sie berät und auditiert für die Plesnik GmbH Unternehmen, die KI implementieren möchten oder bereits im Unternehmen nutzen. Außerdem hat sie einen Praxisleitfaden für Datenschutzbeauftragte verfasst, in dem sie sich bereits ausführlich mit den neuen Anforderungen der KI-Verordnung befasst hat. Verebes erläutert die Grundstruktur der Verordnung und erklärt, was hinter dem risikobasierten Ansatz steckt. Außerdem erfahrt Ihr von ihr, wo in diesem Regulierungssystem die generative KI, also GPAI-Systeme, verortet ist. Schnell kommen die drei Diskutanten zur Erkenntnis, dass es sich bei der KI-Verordnung vor allem um ein echtes Compliance-Monstrum handelt. So ist beispielsweise in vielen Einsatzfällen von KI nicht nur eine Datenschutz-Folgeabschätzung erforderlich, sondern auch eine Risikoeinschätzung. Für Berater und Auditoren entsteht hier eine wahre Goldgrube.

Viel ist bereits geschrieben und gesagt worden zum fünfjährigen Geburtstag der Datenschutz-Grundverordnung (DSGVO). Dieser Geburtstag ging natürlich auch am c't-Datenschutz-Podcast nicht spurlos vorüber, in dem sich Verlagsjustiziar Joerg Heidrich und Redakteur Holger Bleich seit nunmehr 87 Episoden mit den praktischen Folgen der Verordnung erklärend auseinandersetzen. Es wurde Zeit für ein Resümee, ein kleines Zwischenfazit. Zum Auftakt der Privacy-Ring-Konferenz in Hannover, veranstaltet von der Universität Hannover und der Stiftung Datenschutz, fand der Podcast diesmal live vor Publikum statt. Zwei Gäste bereicherten die Runde um ihre Expertise zur Entwicklung der DSGVO: Die Rechtsanwältin Dr. Astrid Auer-Reinsdorff berät Unternehmen bereits seit 2002 im IT- und Datenschutzrecht und ist vielfältig in diesen Bereichen aktiv. Frederick Richter ist seit 2013 Vorstand der damals von der Bundesregierung neu gegründeten Stiftung Datenschutz, die satzungsgemäß als "unabhängige Informations- und Diskussionsplattform" fungiert. Nachdem die muntere Runde sich zunächst mit dem "Bußgeld der Woche" - diesmal der 1,2-Milliarden-Strafe für Facebook - beschäftigte, kam sie auf die Befürchtungen zu sprechen, die 2018 mit der DSGVO einhergingen. Während Massenabmahnungen ausgeblieben waren, hatte der "One size fits all"-Ansatz zu viel Unsicherheit geführt. "Leidtragende waren Schulen und Vereine, aber auch viele kleine Unternehmen", betonte Auer-Reinsdorff. Heidrich zeigte sich darüber verärgert, dass Aufsichtsbehörden zum Start der DSGVO "kaum Hilfestellung oder Handreichnungen" parat hatten und damit zur Unsicherheit beigetragen hätten. Und wenn es mal Handreicungen gebe, enthielten sie eher Verbote als Anleitungen zum rechtmäßigen Vorgehen. Die Runde war sich allerdings auch einig, dass die DSGVO dem Datenschutz ziemlich schnell zu mehr Aufmerksamkeit verhalf: "Es gab hier auch schon ein Datenschutzgesetz, das ähnlich der DSGVO war, nur eben keine ernstzunehmende Sanktionierung. Vieles war vorher auch schon verboten, es hat sich nur niemand dafür interessiert", konstatierte Auer-Reinsdorff. Die gesteigerte "Awareness" habe in den letzten fünf Jahren in vielen Bereichen grundsätzlich zu einem höheren Datenschutz-Niveau geführt, da zeigten sich die Gesprächspartner einig. Dies könne man als positiven Effekt der DSGVO verbuchen. Konsens herrschte auch dazu, dass unter den Aufsichtsbehörden zu wenig Konsens herrscht. Frederick Richter hält dies zumindest auf internationaler Ebene für unausweichlich: "Die unterschiedlichen Behörden in den Mitgliedsstaaten agieren nach unterschiedlichem Verwaltungsrecht und haben eine jeweils andere Aufsichtskultur, von einer einheitlichen Aufsicht kann also keine Rede sein." Aber auch ibnnerhalb deutschlands koche jede Behörde "ihr eigenes Süppchen" - manche legten Wert auf proaktive Beratung, andere auf die abschreckende Wirkung von Bußgeldern. Richter meinte: "Hohe Bußgelder helfen aber in der Breite nicht, abschreckend wäre, wenn es sehr viele kleine Bußgelder gäbe, dafür aber fehlt die Kapazität."

Seit nunmehr fünf Jahren entfaltet die europäische Datenschutz-Grundverordnung (DSGVO) ihre Wirkung. Wie damals von Experten prognostiziert, bedarf sie an vielen Stellen der Auslegung von Gerichten, weil Begriffe unklar sind oder Sachverhalte nicht eindeutig ins DSGVO-Schema passen. Sind sich Gerichte unsicher, befragen sie den Europäischen Gerichtshof (EuGH), der dann in Urteilen abwägend die DSGVO interpretiert. Dutzende solcher Verfahren liegen derzeit am höchsten EU-Gericht zur Entscheidung vor. Anfang Mai hat der EuGH gleich drei bedeutsame Fälle entschieden. Joerg und Holger erläutern und diskutieren die Sacherverhalte und Urteile. Kompetent zur Seite steht ihnen dabei diesmal Alexander Golland, Professor für Wirtschaftsrecht an der an der Aachen University of Applied Sciences. Alexander lehrt, forscht und publiziert schwerpunktmäßig zum deutschen und europäischen Datenschutzrecht. Im Urteil "Österreichische Post AG" (Az.: C-300/21) geht es um die Frage, ob und ab wann ein Verstoß gegen Vorschriften aus der DSGVO auch einen Schaden darstellen und somit Ansprüche auf Schadensersatz begründen könnte. Sie ist sehr relevant, da der Schadensersatz nach Art. 82 DSGVO für Unternehmen ein großes finanzielles Risiko darstellt, etwa, wenn sie durch ein Leak Daten vieler Kunden fahrlässig preisgeben. In der Rechtssache C-487/21 hat sich der EuGH mit dem Recht Betroffener befasst, eine "Kopie" der personenbezogener Daten zu erhalten: Wie weit geht der DSGVO-Begriff der "Kopie"? Genügt es für Unternehmen, Datenbankauszüge zu schicken, oder müssen tatsächlich exakte Auszüge der gespeicherten Daten herausgerückt werden? Der EuGH wollte sich nicht ganz festlegen und stellte auf die Umstände ab, wie im Podcast ausführlich erläutert wird. Schließlich hatte auch das Verwaltungsgericht Wiesbaden den EuGH beschäftigt (Az. C-60/22): Es stellte die Frage, ob eine unvollständige Rechenschaftspflicht eines Verantwortlichen zum Beispiel durch ein fehlendes oder unvollständiges Verzeichnis der Verarbeitungstätigkeiten dazu führt, dass die Datenverarbeitung insgesamt unrechtmäßig erfolgt ist - mit allen Konsequenzen. Dies verneinte der EuGH und brachte damit ein wenig Entschärfung in die Sanktionierung von fehlender Datenschutz-Bürokratie nach DSGVO.

Die Gebäude-Automatisierung ist endgültig im privaten Zuhause angekommen: Rollläden öffnen und schließen von selbst, Helligkeitssensoren bestimmen, wann das Licht angeht, Bewegungsmelder kommunizieren mit den Heizkörpern, und die Wohnungstür öffnet sich per Fingertip in der Smart-Home-App. Sprachassistenten wie Alexa und Google Assistant erschließen die Steuerung des Smart Homes mit gesprochenen Kommandos. Und das TV-Gerät registriert die Gewohnheiten beim Medienkonsum. All die Sensoren generieren teils personenbezogene Daten, die gespeichert und verarbeitet werden. In der Summe lässt sich daraus eine Menge schließen, was datenschutzrechtliche Fragen aufwirft. Darüber sprechen in Episode 85 des c't-Datenschutz-Podcasts Holger und Joerg mit ihrem Gast Dr. Marc Störing. Der Rechtsanwalt ist Partner in der internationalen Kanzlei Osborne Clarke und dort auf IT-nahe datenschutzrechtliche Beratung spezialisiert. Privat hat Marc ein Faible für Heimautomatisierung - im Podcast erzählt er denn auch zunächst von seinen eigenen Projekten. Im Gespräch klären die Drei, wo welche Daten anfallen können und wie sie gespeichert werden. Anschließend diskutieren sie, welche Rechtsgrundlagen der DSGVO eine Verarbeitung rechtfertigen könnten, sofern nicht ausschließlich das familiäre Umfeld erfasst ist (was praktisch nie der Fall ist). Es geht auch um grundsätzliche Fragen nach Erforderlichkeit, Zweckbindung und Speicherdauer im Smart-Home-Bereich. Ganz andere Problemstellungen entstehen beim "Smart Building" im geschäftlichen Umfeld. Hier geht es etwa um Verantwortlichkeiten, Beschäftigtendatenschutz und Auftragsverarbeitungen spezialisierter Dienstleister. Auch dieses weite Feld wird im Podcast angerissen.

Gibt es in Deutschland einen "Datenschutztourismus"? Suchen sich Unternehmen gezielt Standorte in Bundesländern, deren Aufsichtsbehörden die Datenschutz-Grundverordnung (DSGVO) eher lax auslegen? Diese Frage bewegt die einschlägige Community, und deshalb auch den c't-Datenschutz-Podcast Auslegungssache. Holger und Joerg sprechen darüber kontrovers mit Dr. Stefan Brink. Der ehemalige Datenschutzbeauftragte Baden-Württembergs ist Gründer und geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt, wida, in Berlin. Brink nimmt in der Podcast-Episode kein Blatt vor den Mund und zieht Bilanz seiner Amtszeit (2016 bis Ende 2022). Brink gibt sich als Verfechter des föderalen Systems bei der Datenschutzaufsicht. Probleme kann er nicht erkennen. Man bekomme "als Unternehmen Rechtssicherheit von der Datenschutzbehörde, wenn man sie befragt". Man müsse nur darauf bestehen, Auskünfte zu bekommen. "Der Rest ist dann Mimimi in der Form: Ich kenne aber eine andere Aufsichtsbehörde, die sieht das freundlicher." Es gehe dann nicht mehr um Rechssicherheit, sondern um "Wünsch dir was". Harsche Kritik übt Brink am gemeinsamen Gremium der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK): "Die DSK ist für alle Teilnehmer eine Zumutung. Es gibt wenig, was mich in den vergangenen Jahre so betrübt hat, wie die Zusammenarbeit in der DSK. Als ich mich entschlossen habe, den Amtshut abzulegen, war das kein Faktor, der mich hat zögern lassen." Immherin habe sich "die DSK hat in den letzten Jahren gut zusammengerauft. Wir sollten daran arbeiten, dass die DSK-Entscheidungen verbindlicher werden, das Gremium weiter institutionalisieren". Brink plädiert dafür, die DSK "als übergeordnete Instanz zu stärken". Die Frage werde sein: "Bestehen wir auf einstimmigen Beschlüssen der DSK, oder lassen wir Mehrheitsbeschlüsse zu, an die sich alle Aufsichten halten müssen. Das wird spannend, weil dann auch die durch die DSGVO garantierte Unabhängigkeit der Behörden berührt würde. Es ist der richtige Ansatz, dies durch Bundesgesetzgebung zu unterstützen."

DGA, DMA, DSA, DA, AIA, EHDS: Im Rahmen ihrer Datenstrategie überschlägt sich die Europäische Kommission mit neuen Verordnungen, die den Umgang mit Daten innerhalb der Europäischen Union (EU) regulieren sollen. Einige davon sind noch im Planungsstatus, andere bereits in Kraft und bald wirksam. Auf Bürger und Unternehmen kommt da ein Vorschriftengestrüpp zu, das den klaren Blick aufs große Ganze erst einmal verhindern dürfte. Dr. Winfried Veil, in der neuen Episode 83 zu Gast im c't-Datenschutz-Podcast, gilt als harter Kritiker der hektischen Regulierung. Der Jurist begleitete als Referent im Bundesinnenministerium beispielsweise als Experte in der zuständigen EU-Projektgruppe die Ratsverhandlungen zur Datenschutz-Grundverordnung (DSGVO). Er spricht von einem "legislativen Tsunami", der zurzeit über die EU schwappt. In alle den Datengesetzen finde sich stets sinngemäß der Passus "Die DSGVO bleibt unberührt". Doch diese Behauptung lasse sich bei einem näheren Blick in die Gesetzentwürfe nicht halten. Am Beispiel des bereits in Kraft getretenen Digital Services Acts (DSA) besprechen Joerg und Holger mit Winfried, wo das neue Plattform-Gesetz eben doch datenschutzrechtliche Fragen aufwirft. Insbesondere erläutert Winfried, dass die im DSA definierten Mechanismen zu Meldewegen für rechtswidrige Inhalte de facto zu einer Vorratsdatenspeicherung bei den Plattformen führen könnte. Plakativ spricht er von "Pöbler-, Denunzianten- und Querulantendatenbanken". Und dies sei nur einer von mehreren Aspekten, bei dem sich der DSA und die DSGVO in die Quere kommen.

Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wirksam wurde, witterten Einige das große Geschäft mit Datenschutz-Labeln. Denn die DSGVO ermöglichte in ihren Artikel 42 und 43 erstmals europaweit harmonisierte Zertifizierungsprozesse: Produkte und Dienstleistungen sollen auf DSGVO-Konfomität überprüft werden können. Doch bevor Zertifizierungsanbieter starten, müssen sie sich gemäß DSGVO von einer offiziellen Stelle akkreditieren lassen. Und genau an einer solchen Stelle fehlte es lange Zeit in Deutschland. 2021 hat die Deutsche Akkreditierungsstelle (DAkkS) ihre Arbeit aufgenommen. In Episode 82 des c't-Datenschutz-Podcast geht es um den Zustand des deutsche DSGVO-Zertifizierungswesens. Holger und Joerg sprechen dazu mit Rechtsanwalt Dr. Sebastian Kraska. Der Datenschutz-Spezialist beschäftigt sich seit Jahren mit allen Untiefen der Zertifizierung und plaudert in der Episode ein wenig aus dem Nähkästchen. Zusammen mit Sebastian gehen Holger und Joerg alle möglichen Formen durch, beginnend mit Möglichkeiten zur Zertifizierung von Personen, etwa zum Datenschutzbeauftragten oder Auditor. Anschließend erläutert Sebastian die Unterschiede zwischen Produkt- und Management-Zertifizierungen. Er schildert, wie eine Zertifizierung abläuft und wo man sie beantragen kann. Außerdem geht es um alternative Produkte, die beispielsweise auf der recht neuen ISO-Norm 27701 beruhen, aber keine DSGVO-Konformität bescheinigen.

Das Datenschutzrecht führt in kaum einem anderen Gebiet zu so viel Unsicherheit wie beim Aufnehmen und Veröffentlichen von Fotos. Kein Wunder, sind doch hochauflösende Smartphone-Kameras mittlerweile allgegenwärtig. Leichtsinnige Zeitgenossen posten ohne Hemmungen widerrechtlich Fotos fremder Personen auf Instagram oder laden gleich ganze Videos zu TikTok hoch. Auf der anderen Seite versehen Lehrer aus Furcht vor rechtlichen Folgen die Kinderaugen auf Klassenfotos mit unnützen schwarzen Balken. Einige Vereine veröffentlichen Bilder von der Jubiläumsfeier im Zweifel lieber gar nicht mehr. Die juristische Situation rund um Fotos und Videos ist komplex, weil hier viele Rechtsgebiete tangiert sind. Einerseits schützen Persönlichkeitsrechte und der Datenschutz die Betroffenen, vulgo die Abgelichteten. Andererseits gewährt in Deutschland unter anderem das Kunsturheberrecht gewisse Spielräume. Und für Journalismus gelten nochmals andere Regeln. Viele Gründe Holger und Joerg, diese Thematik zu sortieren und jede Menge Tipps für den Alltag herauszuarbeiten. Kompetent zur Seite steht ihnen dabei ihre Gästin Dr. Diana Ettig. Die Fachanwältin für Urheber- und Medienrecht verbindet dieses Gebiet mit ihrer besonderen Expertise im Datenschutzrecht. Diana sortiert, wie die einschlägigen Gesetze zusammenspielen und erläutert anhand vieler Beispiele, welche Bedingungen nötig sind, um sorgenfrei Fotos veröffentlichen zu können. Es geht dabei um das freizügige Betriebsfest genauso wie um den abgebildeten Mitarbeiter und der Firmenbroschüre oder das schnell geschossene Foto vom Kinderfasching in der Kita. Die Anwältin geht dabei auch auf aktuelle Rechtsprechung ein und zeigt auf, wo noch Rechtsunsicherheit besteht: "Ich würde sagen, das Thema ist sehr praxisrelevant, und dafür fast noch zu wenig vor Gericht." Ihre Ausführungen schließt Diana mit dem Appell an Eltern, sehr vorsichtig mit dem Posten von Fotos oder Videos ihrer Sprösslinge zu sein: "Ich würde warten, bis die Kinder selbst in der Lage sind zu entscheiden, wozu natürlich auch ein gewisses Maß an Medienkompetenz vermittelt werden muss." *** Hinweis: Wegen technischer Probleme konnten wir in dieser Folge keine Kapitelmarken setzen. Hier die Einsprungzeiten in die Abschnitte: 0:00 Begrüßung 1:41 Vorstellung Dr. Diana Ettig 5:44 Bußgeld der Woche 15:21 Schwerpunkt Fotos und Datenschutz 1:21:06 Ausklang

Wer digitales Marketing mit E-Mails betreibt, begibt sich in ein juristisches Minenfeld in der Schnittstelle von Datenschutz und Wettbewerbsrecht. In Episode 78 Holger und Joerg zusammen mit ihrem Gast Dr. Martin Schirmbacher ins Thema ein. Weil einige Fragen ungeklärt blieben, folgt nun ein zweiter Teil zu dem Themenkomplex. Martin geht nochmals auf Zweckbindung und Kopplungsverbot ein. Der Experte erläutert, wie eine Newsletter-Einwilligung zu widerrufen sein muss. Genügt der Hinweis auf eine Webseite oder muss ein Abmeldelink direkt in jeder Mail vorhanden sein? Und: Unter welchen Umständen darf ein Unternehmen Nutzungsverhalten erheben, etwa die Öffnungsraten zählen oder Linkklicks tracken, um die Interessen von Nutzern auszuforschen? Zuvor geht es im Podcast allerdings um ein aktuelles Urteil des Verwaltungsgerichts Hannover: Mit einem Aufsehen erregenden Urteil hat die 10. Kammer des Gerichts am 9. Februar die Mitarbeiterkontrolle in einem Logistikzentrum von Amazon in Winsen/Luhe für rechtmäßig erklärt. Die Verhandlung fand nach einer Begehung des "Tatorts" vor Ort statt. c't-Redakteur Christian Wölbert war als Pressevertreter bei diesem außergewöhnlichen Termin dabei und schildert in der Auslegungssache seine Eindrücke.